1
1
© 2010 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Архитектура Cisco SAFE
Назим Латыпаев,
2© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
3© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Хакеры, спамеры, вырусы
Защита интернет-периметра следующего поколенияРеалии бизнеса XXI века
Требуются точные и эффективные средства борьбы с угрозами
Всем пользователям требуется безопасная среда работы
Сотрудники, заказчики и партнеры работают в опасном мире
Необходимо обеспечить контроль, управление и оперативное отражение угроз
4© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Постоянно изменяющаяся ситуация в сфере информационной безопасности
1. Основные черты 2008 годаПовышение сложности и эффективности действий
злоумышленниковЧеловеческий фактор – атаки инсайдеров, социальный
инжиниринг, утечка данных в результате беззаботностиТехнологии для совместной работы – мобильные устройства,
виртуализация, «облачные» вычисления, web 2.0
2. Ожидания в 2009 годуБолее частые и нацеленные
атаки меньшего масштабаАтаки с одновременным использованием
нюансов реализации нескольких протоколовКража репутацииМобильность, технологии для удаленной работы и
новые средства в качестве факторов риска
Источник: годовой отчет Cisco по информационной безопасности, 2008 г.
5© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco SAFE Архитектура защищенной сети
1. Целостный, проактивный, многоуровневый подход к противодействию существующим и новым угрозам безопасности
2. Выделены рекомендации по проектированию и рекомендации по созданию защищенных корпоративных сетей
3. На основе типового дизайна, рекомендуемого Cisco
4. Использует и интегрирует услуги Cisco в сфере ИБ для поддержки жизненного цикла архитектуры
5. Надежная основа для решений следующего поколения
SAFE
Решенияв сфере
ИБ
Сервисы
Справоч-ник
Рук-ва попроекти-рованию
сетей
http://www.cisco.com/go/safe
6© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco SAFEСтруктурная схема для корпоративных сетей
1. Представлена в ноябре 2000 года
2. Многоуровневая защита
3. Модульная архитектура
4. Рекомендуемый дизайн
5. Независимость от поставщика/продуктов
6. Позволяет повысить уровень защищенности
7© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco SAFE 2009Особенности новой архитектуры
1. Рекомендации по проектированию и рекомендации по использованию решений Cisco и их функций
2. Создана на основе модульных типовых дизайнов, рекомендуемых Cisco
3. Особое внимание уделено сетевым интеллектуальным механизмам и их совместной работе в рамках различных платформ
4. Инфраструктура маршрутизации и коммутации используется в качестве средства безопасности
5. Услуги Cisco в сфере ИБ используются для поддержки жизненного цикла архитектуры
8© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
9© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Среда управления ИБ, созданная Cisco Интеграция сервисов
1. Введение единой терминологии и таксономии
2. Обеспечение согласованности решений и сервисов
3. Особое внимание вопросам эксплуатации сетей, созданных в соответствии с архитектурой
4. Помогает идентифицировать векторы угроз и выбрать технические средства защиты
Цели безопасности
Контроль
Управле-
ние
Действия
Описание действий,
обеспечивающих контроль и
управление
Идентификация
Мониторинг
Корреляция
Защита
Изоляция
Выполнение
Обнаружение, мониторинг, сбор, обнаружение и классификация пользователей, трафика, приложений и протоколов
Защита, повышение надежности, ограничение доступа и изоляция устройств, пользователей, трафика, приложений и протоколов
10© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Услуги Cisco в сфере ИБ в течение жизненного цикла
Стратегия и
оценка
Развертывание
и миграция
Удаленное
управление
Интеллек-
туальные
механизмы
Оптимизация
в сфере ИБ
Планиро-вание
Проекти-рование
Внедре-ние
Эксплуа-тация
Оптими-зация
11© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Аксиомы SAFE
1. Сетевые устройства – это цели
2. Сервисы – это цели
3. Оконечные устройства – это цели
4. Сети – это цели
5. Приложения – это цели
12© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Принципы, на которых основана архитектура
1. Многоуровневая защита
2. Модульность и гибкость
3. Доступность и отказоустойчивость сервисов
4. Соответствие нормативным требованиям
5. Реализация с возможностью аудита
6. Стремление к эффективной эксплуатации
7. Интеллектуальные механизмы безопасности и их совместная работа
13© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
14© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Фрагмент дизайна – Интернет-периметрУровень БлокАгрегация
функций
Отказоустойчивость и резервирование
Разделениефункций
Лучшие в отрасли
Модуль
15© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
16© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Основы сетевой защиты (NFP)
1. Сетевая инфраструктура представляет собой основу сети и ДОЛЖНА быть защищена соответствующим образом
Если устройства уязвимы, сеть и сервисы также уязвимы, и дополнительные уровни безопасности не важны
2. Рекомендации по защите сетевых устройстви сервисов
Защищенный доступ
Защищенная маршрутизация
Отказоустойчивость и работоспособность
Сетевая телеметрия
Обеспечение выполнения сетевых политик
Безопасность коммутации
17© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Инфраструктура под угрозойДействия для защиты сети…
Уязвимости программной реализации SIP и UDP
Уведомления об уязвимостях IOS
Инфр. ACL, IP Source Guard
Unicast Reverse Path Forwarding (uRPF)
Способы решения
Уязвимость отказа в обслуживании SSH Средства контроля доступа SSH
Политики уровня управления, инфр. ACL
Отказ в обслуживании DLSw Политики уровня управления
Списки ACL
Уязвимости при обработке SSL-пакетов Политики уровня управления
Списки ACL
Проблема доставки UDP для маршрутизаторов
с поддержкой стека IPv4/IPv6
Списки ACL
ACL приема, инфр. ACL, uRPF
Несколько уязвимостей FTP-сервера, входящего в состав IOS
Политики уровня управления
Инфр. ACL, ACL приема (rACL)
18© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защищенная инфраструктура маршрутизацииАнализ угроз
Атаки могут быть направлены на маршрутизатор, на
сеансы его взаимодействия с соседями, а также на
маршрутную информацию.
19© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защищенная инфраструктура маршрутизацииСредства и рекомендации
1. Ограниченный обмен маршрутной информацией:Аутентификация соседей
Определение соседей
По умолчанию интерфейс пассивен
Проверка безопасности TTL BGP
Списки iACL
Списки rACL
Политики уровня управления
Защита уровня управления
2. Фильтрация маршрутовКарты Route Map
Список префиксов
Списки распространения
Фильтрация по префиксу соседа
Фильтрация по максимальному префиксу
Поддержка маршрутизации EIGRP для оконечного маршрутизатора
Фильтрация трансляции маршрутной информации
3. Журналирование
От каких угроз можно так защититься?
Как именно? Как работают средства защиты?
20© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защищенная инфраструктура маршрутизацииФильтрация маршрутной информации на периметре WAN
Фильтрация префикса соседей на периметре WAN
Фильтры на оконечных маршрутизаторах филиалов
Журналирование соседей
! Incoming route filter applied at the WAN edge and that only allows the
branch subnet.
router eigrp <process>
network <network>
distribute-list 39 in <interface-type/number>
!
access-list 39 permit <remote-subnet> <inverse-mask>
router eigrp <process>
network <network>
eigrp stub connected
!Logging neighbor changes in EIGRP
router eigrp <process>
eigrp log-neighbor-changes
21© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
22© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Мониторинг, анализ, корреляция
Информация из журналов и сведения о событиях, генерируемые маршрутизаторами, коммутаторами, межсетевыми экранами, системами предотвращения вторжений и средствами защиты хостов собираются и анализируются решением CS-MARS.
ИнтернетSiSi SiSi
Комплекс
зданий
Ядро Периметр
Интернет
CS-MARS CS-ACSCSA-
MC
SD
EE
SyslogSNMP
23© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения при развертыванииCS-MARS
1. Глобальная или локальная установка
2. Выбор платформы CS-MARS
3. Синхронизация времени
4. Протоколы доступа и предоставления отчетов
5. Выбор устройств мониторинга и противодействия атакам
24© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Вариант установки CS-MARS
1. Одно автономное устройство
2. Несколько автономных устройств
3. Иерархия устройств
Штаб-квартира
в СШАФилиал
Филиал
Глобальный
контроллер
Локальный
контроллер
Европа
Локальный
контроллер
25© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Выбор платформы CS-MARS
1. Количество объектов, поддерживаемых CS-MARS
Сколько всего объектов?
Какова пропускная способность каналов между объектами?
Сколько контролируемых устройств на удаленных объектах?
Какие устройства контролируются?
2. Ожидаемые показатели событий/с (EPS)
Ожидаемое значение EPS и EPS NetFlow (макс. показатели)
3. Требования к высокой доступности
4. Требуемая емкость сетевой системы хранения
26© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Синхронизация времени
1. Используйте NTP для синхронизации даты и времени на всех устройствах в сети.
2. Без синхронизации времени решение CS-MARS может оказаться неспособно правильно выполнить анализ телеметрических данных.
3. При развертывании одного централизованного устройства CS-MARS рекомендуется настроить все устройства, предоставляющие отчетные данные и обеспечивающие защиту сети, на работу в одном часовом поясе.
4. При использовании иерархической структуры каждый локальный контроллер может находиться в своем часовом поясе. Глобальный контроллер может учитывать разницу времени в разных часовых поясах.
27© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Устройства под управлением Cisco IOS. Доступ и формирование отчетов
1. Доступ к устройству
SSH, SNMP и Telnet (не рекомендуется).
2. Отчеты устройства
SNMP RO: ЦПУ, использование памяти (SNMPv1).
Syslog: сетевые операции, например, принятые и отклоненные запросы на установление соединения.
NetFlow: CS-MARS может использовать данные NetFlow версий 1, 5, 7 и 9 для профилирования использования сети, обнаружения статистически значимых аномалий и корреляции аномалий с событиями, зарегистрированными другими системами.
SDEE: CS-MARS использует SDEE для сбора информации о событиях безопасности, журналах, и настройках устройств IOS, на которых функционирует Cisco IOS IPS.
28© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CS-MARS и Cisco IOS NetFlow
1. Данные IOS NetFlow используются для:
Формирования отчетов «N» (рейтинговых отчетов)
Обнаружения аномальной частоты попыток установления соединения (соединений в секунду)
2. После настройки NetFlow решение CS-MARS вычисляет профиль трафика на основании данных о количестве соединений в секунду. При вычислении определяется среднее значение и стандартное отклонение.
3. Потоки определяются по IP-адресу отправителя или получателя и по порту получателя
IP-адрес отправителя и порт получателя > черви
IP-адрес и порт получателя > DDoS
4. При обнаружении аномалии записи NetFlow автоматически сохраняются
29© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CS-MARS и Cisco IOS NetFlowРекомендации
1. Включите сбор и экспорт данных NetFlow на устройствах, выполняющим агрегацию трафика, такие как коммутаторы уровня распределения комплекса зданий, маршрутизаторы уровня ядра ЦОД, маршрутизаторы на периметре сети.
2. Убедитесь, что в команде ip flow-export source <интерфейс> указан интерфейс с IP-адресом, с которого отправляются отчеты.
3. Используйте обобщенные выборки NetFlow. Статистические выборки трафика существенно снижают нагрузку на ресурсы маршрутизатора.
ip flow-export version 5
ip flow-export source GigabitEthernet1/3
ip flow-export destination x.x.x.x 2055
flow-sampler-map csmars-sample
mode random one-out-of 100
interface gig4/1
flow-sampler csmars-sample
ip flow ingress
30© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Проверка работы Cisco IOS NetFlow
1. В процессе обнаружения факт приема записей NetFlow можно подтвердить с помощью tcpdump.
3.
4. Данные NetFlow недоступны для запросов до тех пор, пока они не будут сохранены в базе данных (вручную или в результате обнаружения аномалии)
[pnadmin]$ tcpdump port 2055
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
07:42:08.836748 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 332
07:42:08.887558 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 176
07:42:21.946359 IP dca-core1.cisco.com.65532 > pnmars.2055: UDP, length 72
07:42:22.825689 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 176
31© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco IPS. Средства доступа и формирования отчетов
1. Доступ и передача отчетов
Протокол Security Device Event Exchange (SDEE)
2. Данные о событиях Cisco IPS
Уведомления о событиях: в уведомлениях содержится ИД сигнатуры, версия, описание, уровень серьезности, а также сведения о портах и IP-адресах отправителей и получателей пакетов, вызвавших появление события.
Данные основного пакета*: Сведения о данных первого пакета, вызвавшего срабатывание сигнатуры. Доступны для сигнатур, настроенных с действием produce-verbose-alert.
Журнал IP (данные пакетов)*: журнал IP-пакетов (по умолчанию 30 секунд сеанса). Доступно для сигнатур, настроенных с действиями produce-verbose-alert и log-pair-packets.
* Функции «Журнал IP» и «Данные основного пакета» создают существенную нагрузку на систему.
32© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CS-MARS и Cisco IPSРекомендации
1. Ограничить административный доступ к сенсорам только для указанных IP-адресов. Добавить CS-MARS в список доверенных хостов.
2. Определить локальную учетную запись администратора, которая будет использоваться только для доступа CS-MARS (достаточно доступа для просмотра).
3. Определить все контролируемые сети в конфигурации CS-MARS.
4. Включить динамическое обновление сигнатур IPS. CS-MARS динамически загружает последние определения сигнатур. Это необходимо, чтобы обеспечить адекватную интерпретацию и обработку событий.
33© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Проверка взаимодействия CS-MARS и Cisco IPS
1. Первый шаг – подтверждение возможности взаимодействия CS-MARS и сенсора. Для этого запустите тест подключения из графического интерфейса CS-MARS.
2. Второй шаг – вызвать срабатывание сигнатуры на сенсоре Cisco IPS.http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
34© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco ASA. Средства доступа и формирования отчетов
1. Доступ к устройству
SSH или Telnet (не рекомендуется)
2. Передача отчетов
SNMP для чтения: мониторинг использования ресурсов (SNMPv1).
Syslog/сообщения SNMP trap: сведения об установлении, разрыве и отклонении соединений, а также о трансляции NAT.
Журналирование событий безопасности NetFlow (NSEL): поддерживается на ASA5580 с ПО версии 8.1.x, обеспечивает более эффективное получение той же информации, что и syslog, позволяя снизить нагрузку на ЦПУ Cisco ASA и ЦПУ CS-MARS.
35© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CS-MARS и Cisco ASAРекомендации
1. Используйте SSH (а не Telnet) для доступа к устройству.
2. Определите административную учетную запись AAA и локальную учетную запись, которые будут использоваться только для доступа CS-MARS.
3. Настройте доступ по SNMP только для чтения для мониторинга системных ресурсов.
4. Включите поддержку syslog. Как правило, достаточно уровня «Informational» (информационный). Если необходимо, используйте ограничение скорости передачи.
36© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco ASA 8.2
1. Включите NSEL для получения информации о соединениях (создание, разрыв, отклонение) и трансляции NAT. Используйте статистические выборки NetFlow для снижения нагрузки на ASA и CS-MARS.
2. Настройте команду logging flow-export-syslogs disable,чтобы предотвратить передачу повторяющихся сообщений на устройство CS-MARS.
flow-export destination management x.x.x.x 2055
flow-export template timeout-rate 1
logging flow-export-syslogs disable
logging trap informational
! Enable secure logging
logging host management x.x.x.x TCP/1500 secure
logging enable
no logging console
logging buffered debugging
snmp-server host management x.x.x.x poll community <strong-community>
snmp-server community <strong-community>
37© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Проверка взаимодействия CS-MARS и Cisco ASA
1. Первый шаг – подтверждение возможности взаимодействия CS-MARS и Cisco ASA. Для этого запустите обнаружение устройств из графического интерфейса CS-MARS.
2. Чтобы убедиться, что CS-MARS получает информацию о событиях от Cisco ASA, создайте пакеты или попытайтесь установить соединение, которое будет заблокировано межсетевым экраном. При этом должно появиться событие ―Denied TCP/UDP request to Firewall‖, подобное следующему:
38© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Критерии выбора устройств
1. Не надо включать все повсюду.
2. Возможность выборочного включения протоколов доступа и мониторинга, когда это требуется.
3. Думайте об информации, которую можно получить от устройства, и о способе ее обработки.
Область
сети
Устройство и
функция
Методы
Комплекс зданий
ASA SSH, NetFlow, syslog (без дублирования, уровень
«informational»), SMNP RO
IPS SDEE
Коммутаторы уровня
распределения
SSH, выборки NetFlow, syslog (уровень «critical»), SMNP RO
Коммутаторы уровня
доступа
SSH, syslog (уровень «informational»), SMNP RO
Интернет-периметр
ASA SSH, NetFlow, syslog (без дублирования, уровень
«informational»), SMNP RO
IPS SDEE
Пограничные
маршрутизаторы
SSH, выборки NetFlow, syslog (уровень «informational»), SMNP
RO
Внутренние
маршрутизаторы
SSH, syslog (уровень «critical»), SMNP RO
39© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Пример: разведка
Интернет
198.133.219.0/24
Web-
сервер 10.244.20.0/24
64.104.10.138
40© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Пример: шторм TCP-запросов на общедоступный сервис
Интернет
Получатель TCP/80
IE-7200-3
Web-
сервер
198.133.219.128
41© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Пример: атака на web-сервер
Интернет
64.104.10.138NAT 10.244.10.110 <>198.133.219.59Web –сервер
10.244.10.110
42© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Управление и противодействие угрозам
1. Защита оконечных устройств (CSA)
2. Сетевые МСЭ (ASA, FWSM, IOS)
3. Сетевые IPS (устройства и модули, IOS)
4. Контроль доступа к сети (NAC appliance и 802.1x)
5. CS-MARS
6. Защита Web-трафика/электронной почты (IronPort)
7. Маршрутизаторы и коммутаторы(SRTBH, EEM, PISA DPI, …)
43© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CSA+IPS = расширенный контроль оконечных устройств
1. Возможность использования сведения об оконечном устройства, полученных Cisco Security Agent, для воздействия на работу IPS
2. Уменьшение количества ложных срабатываний
3. Расширенные средства отражения атак
4. Динамическое помещение хостов в карантин
Cisco IPS
Центр
управления
Cisco Security
Agent MC
Cisco
Security
Agent
Оценка состояния
хоста и события
карантина (SDEE)
Оценка
состояния
хоста Подписка
SDEE
Информация
о событиях
44© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Рекомендации по использованию CSA+IPS
1. Определите для Cisco Security Agent MC учетную запись с административными полномочиями, которая будет использоваться сенсорами IPS для подписки SDEE (только просмотр и мониторинг).
2. Включите сбор исторических данных о хосте в Cisco Security Agent
3. Добавьте Cisco Security Agent MC в список доверенных хостов на каждом сенсоре IPS.
4. Настройте интерфейс внешнего продукта на каждом сенсоре Cisco IPS.
5. В целях резервирования на каждом сенсоре можно настроить два центра управления Cisco Security Agent MC.
45© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Интерфейс внешнего продукта на сенсоре Cisco IPS
CSA-MC
Учетная запись
админист-ратора
Вкл/выкл интерфейс внешнего продукта
Настройка приема списков событий Watch-list
Фильтрация данных о состоянии
хостовSession=TCP
Packet=UDP, ICMP, и т. п.
46© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Использование информации об оконечном устройстве
1. Информация о типе ОС, предоставляемая CSA, позволяет расширить возможности IPS при анализе атак на оконечное устройство и снизить количество ложных срабатываний
2. Информация о типе ОС позволяет Cisco IPS принять решение об уязвимости цели для данной атаки
3. Значение рейтинга риска инцидента динамически изменяется в соответствии с вероятностью инцидента
Рейтинг риска (RR) — это значение в интервале от 0 до 100, которое позволяет пользователю оценить риск, связанный с инцидентом.
Рейтинг риска вычисляется в соответствии с формулой, в которой учитывается рейтинг релевантности. Значение рейтинга релевантности определяется на основании информации о типе ОС.
47© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Информация об оконечном устройстве
Высокий RR >= 90Средний 90>RR>=70Низкий RR<70
Deny attacker inlineDeny connection inlineDeny packet inlineRequest Block HostRequest Block ConnectionRequest Rate LimitLog…
Переопределение действия для события
48© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
49© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Системы предотвращения вторженийСоображения по развертыванию
1. IDS или IPS
2. Масштабируемость и доступность
Балансировка нагрузки на IPS, резервирование
3. Максимальный уровень обнаружения угроз
Обеспечить симметричность трафика для контроля
50© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
IPS или IDS
Сенсоры в пути передачи трафика
Требуется проектирование и настройка для снижения воздействия на задержки, конвергентность и доступность
Требуются дополнительные VLAN и изменения в инфраструктуре комплекса зданий
Автоматическое обнаружение и предотвращение вторжений (оперативно)
Сенсоры не в пути передачи
Анализируется копия трафика –сбор TAP, SPAN, RSPAN, VACL (пассивный мониторинг)
При обнаружении аномалии сообщение передается в систему управления, которая принимает решение о контрмерах
Обнаружение вторжений и устранение вручную (менее оперативно)
SiSi SiSi
Режим IPS Режим IDS
Режим IPS
(транзит)
Режим IDS
(Promiscuous)
ДоступРаспределение
Ядро
51© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Масштабируемость и доступностьСоображения по развертыванию
1. Устройства или сервисные модули
2. Балансировка нагрузки/объединение IPS
Балансировка нагрузки EtherChannel (ECLB)
Application Control Engine (ACE)
SiSi
SiSiЯдро
Распределение
Доступ
Объединение ECLB
или
Балансировка нагрузки
на ACE
SiSi
52© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Максимальный охват системой контроляСоображения по развертыванию
1. Обеспечение симметрии трафика на сенсорах
Копирование трафика с помощью IPS – SPAN, сбор VACL, порты дублирования
Управление маршрутизацией –метрики затрат, маршрутизация на основе политики
Интеграция на коммутаторе IPS –консолидация трафика на одном коммутаторе
Интеллектуальная балансировка нагрузки– модуль Cisco ACE или ECLB
SiSiSiSi
53© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Ядро
Интернет
IPS на периметре сети
1. МСЭ в отказоустойчивой конфигурации «активный/резервный» с контролем состояния сеансов
2. Выбор IPS в соответствии с STP
3. Требуется настройка STP
4. Пропускная способность соответствует одной IPS и одному МСЭSiSi
Распределение
Корп. сеть
Доступ/ДМЗ
Оператор
связи
SiSi
SiSi
SiSiSiSi
SiSi
54© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
IPS на периметре WAN
1. Управление маршрутизацией обеспечивает симметрию трафика на коммутаторах
2. ECLB для интеллектуальной балансировки нагрузки на устройства IPS
ASR-1 ASR-2
Фил. 1 Фил. 2
Cost100
Cost1
Ядро
WAN
Распределение
Периметр
частной
WAN
ЧастнаяWANSP1
Частная WANSP2
DMVPN DMVPN
SiSi SiSi
Cost100
Cost1
VRF на коммутаторах
направляет трафика
L3 в VLAN IPS
Пары VLAN на IPS
возвращают трафик
на коммутатор
ECLB
55© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
56© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Сеть управления
Доступ к устройствам и их настройка
Сбор событий для мониторинга, анализа и корреляции
Аутентификация, авторизация и учет для устройств и пользователей
Синхронизация времени
Настройка и хранение образов
Средства контроля доступа к сети
Обеспечивает защищенное управление всеми
устройствами и хостами корпоративной сети и
предоставляет серверы, сервисы и способы
подключения для решения следующих задач.
57© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Модуль управленияВыделенная сеть (OOB) и общие каналы связи (IB)
1. Выделенная сеть
Отдельное адресное пространство
Отдельная физическая сеть (или выделенная с помощью VRF и VLAN отдельная логическая сеть)
Выделенные физические интерфейсы (или VLAN)
2. Общие каналы связи
МСЭ между подсетью управления и подсетью управляемых устройств
Использование SSH и HTTPS вместо Telnet и HTTP
Используется для устройств на удаленных объектах или устройств, у которых нет выделенного интерфейса управления
58© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Модуль управленияВыделенная сеть (OOB) и общие каналы связи (IB)
CS-
MARSCSM Хост
админ.
CS-ACSВыделенная
сетьNAC
Mgr
ЯдроРаспреде-
ление WAN
Периметр
WAN
WAN
Сервер
NTP
SiSi
Устройств
а
комплекса
зданий
Устройства
ЦОД
Сервер
консольного
доступа
Сервер
консольного
доступа
Филиал
Управление
по общим
каналам
МСЭ
Консольные
подключения
Консольные
подключения
VPN
администрирования
SiSi
SiSi
SiSi
SiSi
SiSi
59© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Модуль управленияСоображения по развертыванию
1. Обеспечьте защищенный удаленный доступ к сети управления (VPN)
2. Синхронизируйте время (NTP)
3. Используйте сетевые и хостовые IPS для защиты серверов в подсети управления
4. Обеспечьте контроль доступа к сети управления (МСЭ, списки ACL)
5. Не допускайте попадания трафика данных с управляемых устройств в сеть управления (списки ACL)
60© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
МСЭ — фильтрация пакетов с контролем состояния сеанса
Подсеть
управления
Подсети
управляемых
устройств
Все
управля-
емые
устройства
SSH, HTTPS, ping, traceroute, SFTP
Echo-Reply, SFTP, ICMP-unreachable, ttl-exceeded
RADIUSУдаленный
доступ для
администри-
рования
CSM
Сервер
контроля
доступа
Межсетевой экран
HTTPS, SSH
TACACS+
NAC Server
NAC Profiler
Firewall
Системное
администри-
рование
CS - MARS
NAC
Manager
ESP, ISAKMP
SSH, HTTPS, TCP(1099, 8995, 8996)
SNMPTRAP, NetFlow (UDP 2055) Secure syslog
SNMP RO, SDEE (SSL), SSH
HTTPS(443)
61© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Списки ACL для сети управленияРеализуйте контроль доступа и заблокируйте транзит трафика
1. Реализуйте списки ACL для входящего и исходящеготрафика
Разрешите доступ в сеть управления с IP-адреса, назначенного интерфейсу управления
Разрешите доступ из сети управления на этот адрес интерфейса управления
Разрешите только те протоколы, которые могут использоваться для управления этими устройствами (SSH, NTP, FTP, SNMP, TACACS+, …)
Пример ACL для входящего трафикаaccess-list 130 permit tcp host 10.5.3.50 eq tacacs host 10.2.1.10 established
access-list 130 permit tcp host 10.5.3.50 host 10.2.1.10 eq tacacs
access-list 130 permit udp host 10.5.3.250 host 10.2.1.10 eq ntp
access-list 130 permit tcp host 10.5.3.0 0.0.0.255 host 10.2.1.10 eq 22
access-list 130 permit udp host 10.5.3.6 host 10.2.1.10 eq snmp
access-list 130 deny ip any any log
Пример ACL для исходящего трафикаaccess-list 140 permit ip host 10.2.1.10 10.5.3.0 0.0.0.255
Команды для интерфейса управленияip address 10.2.1.10 255.255.255.0
ip access-group 130 in
ip access-group 140 out
62© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Визуальные среды администрированияИнтеллектуальное средство управления ASDM снижает нагрузку и совокупную стоимость владения
1. Визуальное управление
Интуитивно понятный удобный интерфейс
Настройка SSL VPN с помощью мастеров
Визуальный редактор политик для создания политик контроля доступа и оценки состояния, включая CSD
Подробная справка
2. Простота контроля доступа
Настройка полномочий пользователей и групп
Простота управления, безопасный доступ из любой точки сети в любой момент времени
Для администраторов
63© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Визуальные среды администрирования ASDM — настраиваемые фреймы
Для администраторов
64© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Визуальные среды администрирования ASDM — мастера настройки SSL и IPSec VPN
1. Отдельные мастера для настройки SSL и IPSec VPN
Для администраторов
65© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Управление эксплуатациейи управление политикой
Функциональные возможности
1. Унификация политик и согласованное управления МСЭ, IPS и сервисами VPN
2. Встроенные функции, связывающие нарушения безопасности с правилами политик
3. Учет топологии для быстрой изоляции и отражения вторжений
Преимущества
1. Упрощение процесса защиты за счет централизованной настройки политик и мониторинга угроз в режиме реального времени
2. Повышение эффективности взаимодействия между специалистами по ИБ и сетевыми специалистами
3. Встроенные средства управления изменениями и анализа инцидентов упрощают проведение аудитов
Cisco® Security Manager
Cisco Security MARS
66© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Cisco Security Mars
Интеграция CS-Manager и CS-MARS
Интеграция управления безопасностью и мониторинга
Быстроеобнаружениеи отражение атак
Учет топологии
Корреляцияданных
Cisco Security Manager
Упрощение управления политиками
Сквознаянастройка
Для всей сети или устройства
НастройкаУправление
МониторингАнализЗащита
Самозащищающаяся сеть
67© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Взаимосвязи CSM и CS-MARS
1. Поддержка совместной работы CS-MARS и CSM
Взаимосвязи событий CS-MARS с политиками CSM (МСЭ и IPS)
Взаимосвязи политик CSM с событиями CS-MARS (МСЭ и IPS)
2. Возможность быстрого согласования политик CS-MARS и CS-Manager
3. Устранение неполадок и обнаружение инцидентов ИБ, связанных с политиками межсетевого экрана и IPS
4. Связывание событий CS-MARS с сигнатурами IPS или политиками МСЭ CSM, вызвавшими генерацию события
5. Запрос событий CS-MARS, с которыми связана сигнатура IPS или политики МСЭ CSM
68© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Политика CSM для события CS-MARS Взаимосвязи IPS
1. Оперативный контроль эффективности работы IPS
2. Моментальная проверка эффективности обновленных политик
69© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Событие CS-MARS для политики CSM Взаимосвязи IPS
1. Быстрая корректировка политик сигнатур для устранения проблем в сети—например, в случае ложных срабатываний, создающих информационный шум или приводящих к блокировке легитимного трафика.
70© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
71© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Основные угрозы для сети комплекса зданий
1. Нарушение доступности сервисов. Ботнеты, вредоносное ПО, вирусы, DoS-атаки (переполнение буфера и атаки на оконечные устройства), атаки уровня 2 и DDoS-атаки на сервисы и инфраструктуру.
2. Несанкционированный доступ. Вторжения, неавторизованные пользователи, повышение привилегий, подмена IP-адреса отправителя.
3. Раскрытие и модификация данных. Прослушивание сетевого трафика, атаки типа «посредник» (MITM).
4. Нарушение политик использования сети. Файлообменные сети, системы обмена мгновенными сообщениями, доступ к запрещенному контенту.
5. Утечка данных. С серверов и пользовательских компьютеров, перехват передаваемых данных.
6. Кража идентификационных данных и мошенничество. На серверах и пользовательских компьютерах, атаки типа «фишинг» и спам.
72© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Схема сети комплекса зданийМногоуровневая архитектура
Доступ
Ядро
Распределение
SiSi SiSi
SiSiSiSi
73© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CSA
Управление
• CS-MARS
• NAC Profiler
• IPS
• Хостовая IPS (CSA)
• NetFlow, syslog
• SNMP
• AAA, ACS
• Мониторинг ресурсов
• Журналирование событий
маршрутизации
SiSi SiSi
SiSiSiSi
AAA Журналирование
событий маршрутизации,
мониторинг ресурсов
NetFlow
SNMP, syslog
УправлениеCS-MARS ACS
NAC Profiler
Схема сети комплекса зданий Управление
IPS
74© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
CSA
SiSi SiSi
SiSiSiSi
IPS
NAC,
IBNS
AAA, SSH
Защита
маршрутизации
Управление
Контроль
• Хостовая IPS (CSA)
• CISF
• NAC, IBNS
• IPS (транзит, promiscuous)
• Инфраструктурные ACL
(iACL)
• CoPP, ограничение скорости
• AAA, SSH
• Защита STP
• Защита
маршрутизации
• Доступность,
отказоустойчивость
• VLAN BCP
• uRPF
CoPP
CISF,
VLAN BCP
Доступность,
отказоустойчивость
iACL, uRFP,
защита STP
Схема сети комплекса зданий Контроль
75© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb
00:0e:00:aa:aa:cc
00:0e:00:bb:bb:dd
etc132 000
произв.
MAC-
адресов
Коммутаторработает как концентратор
Сервер
эл.
почты
― Ващ пароль:
‗joecisco‘ !‖
DHCP-сервер
―Вот IP-
адрес!‖
X―DHCP
Request‖
DHCP DoS
Атакующий = 10.1.1.25 Жертва = 10.1.1.50
Шлюз = 10.1.1.1MAC=A SiSi
―Мой адрес 10.1.1.50 !‖
Атаки «шторм MAC» Атаки на DHCP
Атаки типа «посредник» Атаки подмены IP-адреса
Защита уровня доступаТиповые угрозы безопасности для уровня доступа
76© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Средства защиты ограничивают количество MAC-адресов на порт, затем порт блокируется и посылает SNMP Trap
Действия = Protect, Restrict, Shut Down
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb
132 000
произв.
MAC-адресов
Проблема:
Решение:
Хакеры могут заполнить таблицы коммутатора произвольными MAC-адресами.
VLAN превратится в ―общую шину‖
Размер таблицы коммутатора ограничен.
Разрешены
только 3 MAC-
адреса с порта:
отключить
порт
switchport port-security
switchport port-security maximum 3
switchport port-security violation shutdown
switchport port-security aging time 2
switchport port-security aging type inactivity
Защита на уровне портовЗащита от «шторма» MAC-адресов
77© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита на уровне портов в среде IP-телефонии
1. Телефоны могут использовать2 или 3 адреса в зависимостиот оборудования и ПО коммутатора
Если коммутаторы выделяют трафик CDP,нужны 3 адреса, иначе 2
Некоторым устройствам (3550) всегда нужны3 адреса
Разрешены
только 2 или 3
MAC-адреса с
порта:
ограничить
По умолчанию порт отключается, для VoIP можно ограничить работу порта
В соответствии с политикой безопасности даже в среде VoIPможет потребоваться отключение порта
Ограничение на количество MAC-адресов позволяет защитить коммутатор, а не контролировать доступ
Для разрешения обмена по CDP в течение минуты можно задать время устаревания, равное 2, и включить устаревание
78© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита на уровне портов и контроль DHCP Исчерпание DHCP-пула
Злоумышленник пытается исчерпать весь пул IP-адресов, доступный для выделения по DHCP
Для запроса нового адреса используется новый MAC-адрес
Ограничение количества MAC-адресов на порт позволяет ограничить количество выделяемых IP-адресов для этого порта
Клиент
Злоумышленник
DHCP-сервер
* Примечание. Эта функция по умолчанию включена на некоторых коммутаторах.
Ознакомьтесь с документацией
Что, если атакующий проводит атаку с тем же MAC-адресом интерфейса, но меняет MAC-адрес клиента в запросе?
При включении контроля DHCP коммутаторы анализируют поле CHADDR в DHCP-заголовке*
Если MAC-адрес отправителя не соответствует MAC-адресу в таблице контроля DHCP, запрос удаляется
Защита на уровне портов Контроль DHCP
79© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
СТОП!
Клиент
DHCP-сервер
Ложныйсервер
Доверенный
Недовер.
Недовер.
Включен контроль DHCP
ЛОЖНЫЙ DHCP
Ответы:
offer, ack, nak
OK DHCP:
Ответы:
offer, ack, nak
DHCP
REQ
По умолчанию все порты в VLAN являются недоверенными
Контроль DHCP – недоверенный клиентКоманды для интерфейсаno ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 15 (pps)
Глобальные командыip dhcp snooping vlan 100,110,120
no ip dhcp snooping information option
ip dhcp snooping
Доверенный сервер или каналдля контроля DHCP
Команды для интерфейсаip dhcp snooping trust
Защита DHCPЗащита от ложного DHCP-сервера
80© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
СТОП!
Клиент
DHCP-сервер
Ложный сервер
Доверенный
Недовер.
Недовер.
Включен контроль DHCP
ЛОЖНЫЙ DHCP
Ответы:
offer, ack, nak
OK DHCP
Ответы:
offer, ack, nak
DHCP
REQ
Таблица создается путем контроля DHCP-ответов клиентам
Записи остаются в таблице до истечения срока аренды DHCP
Таблица контроля DHCP
sh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface
----------------- ------------ ---------- ------------- ---- -------------------
00:22:64:88:63:6E 10.240.100.2 62960 dhcp-snooping 100 GigabitEthernet2/21
Защита DHCPЗащита от ложного DHCP-сервера
81© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
10.240.200.1MAC A
10.240.200.3MAC C
10.240.200.2MAC B
SiSiARP-ответ
10.240.200.3=MAC_B
ARP-ответ
10.240.200.1=MAC_B
Глобальные команды
ip dhcp snooping vlan 200,210,220
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 200,210,220
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
Команды для интерфейсов
no ip arp inspection trust (default)
ip arp inspection limit rate 15 (pps)
Динамический контроль ARP Защита от ложного ARP-ответа
1. Защита от переполнения ARP-кэша (ettercap, dsnif, arpspoof)
2. Использует таблицу контроля DHCP
3. Контроль соответствия MAC и IP адресов информации DHCP
4. Ограничение частоты ARP-запросов от клиентских портов; предотвращение сканирования портов
5. Удаление поддельных ARP-пакетов; предотвращение переполнения ARP-кэша/атак MiTM
82© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Шлюз10.240.200.1
00-22-90-E0-B5-FF
Жертва10.240.200.3
00-1A-4B-65-86-84
Атакующий10.240.200.2
00-1A-4B-65-C6-11
SiSi
ARP-ответ
10.240.200.3 = 00-1A-4B-65-C6-11
ARP-ответ
10.240.200.1 = 00-1A-4B-65-C6-11
Динамический контроль ARP Уведомление в CS-MARS
83© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Шлюз10.240.200.1
Жертва10.240.200.3
Атакующий10.240.200.2
SiSiМой IP-адрес10.240.200.3 !
Глобальные командыip dhcp snooping vlan 200,210,220
no ip dhcp snooping information option
ip dhcp snooping
Команды для интерфейсаip verify source vlan dhcp-snooping
Технология IP Source GuardЗащита от подмены IP-адреса отправителя
1. Технология IP source guard защищает от подмены IP-адресов отправителя
2. Использует таблицу контроля DHCP
3. Контроль соответствия IP-адреса и порта
4. Динамическое программирование списков ACL для порта, чтобы удалить трафик, отправленный с IP-адреса, который отличается от IP-адреса, выделенного по DHCP
84© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Резюме по защите инфраструктурыВстроенные средства безопасности Catalyst
1. Защита на уровне порта позволяет защититься от «шторма» MAC,доступа к порту и злонамеренного расширению сети
2. Контроль DHCP позволяет защититься от атак «ложный DHCP-сервер» и «переполнение DHCP-пула»
3. Динамический контроль ARP использует таблицу контроля DHCP для предотвращения атак с использованием ARP и атак MiTM
4. IP Source Guard использует таблицу контроля DHCP для предотвращения подмены IP-адреса отправителя
Защитана уровне
порта
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb
00:0e:00:aa:aa:cc
00:0e:00:bb:bb:dd
etc132,000
Bogus
MACs
Switch acts like a hub
DHCP Server
―Use this IP
Address !‖
X―DHCP
Request‖
DHCP DoS
Server
― Your email passwd is
‗joecisco‘ !‖
Атакующий= 10.1.1.25 Жертва = 10.1.1.50
Шлюз = 10.1.1.1MAC=A SiSi
―Мой IP-адрес10.1.1.50 !‖
85© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Отражение угроз
Подмена IP-адресаотправ.
БотнетыDoS/
DDoS
Атаки
L2НСД
Шпион-ское ПО,
ВПО, реклама
Нару-шение
политик
Конт-роль
Управ-ление
CSA
Фильтр. на пер.
IPS
NAC
IBNS
CISF
AAA
uRPF
NetFlow
86© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
87© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Периметр Интернет сегодняПользователи, сотрудники и бизнес меняются
1. Рост количества удаленных сотрудников, подключающихся к корпоративной сети через интернет-периметр
2. Внедрение средств совместной работы, например, WebEx
3. Филиалы используют Интернет как альтернативу выделенной линии связи
4. Тенденция миграции филиалов только на интернет-подключения
5. Развертывание приложений электронной коммерции и требования по их защите
6. Рост спроса на защиту web-трафика и электронной почты
88© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита сети
Защита инфраструктуры
Защита контента
Защита приложений
Управление безопасностью
Самозащищающаяся сеть Cisco
Набор решений Cisco для защиты периметра
1. Cisco ACS, CS-MARS управляют безопасностью.
2. ASA, IPS, IronPort обеспечивает защиту приложений.
3. Решения IronPort защищают контент.
4. ASA, IPS в канале передачи данных защищают сеть.
5. Защита инфраструктуры реализуется на маршрутизаторах, коммутаторах и МСЭ
Компоненты системы
защиты
89© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Распределение
Периметр Интернет
Корп. доступ/ДМЗ
Периметр
Подключение офисов
VPN удаленного доступа
SiSi SiSi
SiSiSiSi
Ядро
Шлюз
защиты
эл. почты
Шлюз
защиты web
E-mailHTTP-
сервисыDNS
ISP A
ISP B
Интернет
ISP B
ISP A
Удаленный
клиент
Филиалыс сервисами
передачи голоса
Резервный
интернет-канал
90© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Топология периметра
IE-VPN
Маршрутизатор
с МСЭ
Основной контроллер
Сегмент сервисов сетевых приложений (ДМЗ)
WAN 1
ОС Интернет -1
WAN 2
ОС Интернет -2
Филиалыс сервисами
передачи голоса
DNS
NTP/SyslogУправление
по выделенной
сетиСетевое
управление
IPS
Пограничные
маршрутизаторы
с PFR
Удаленный
клиент
ASA
ASA
WSA
ESA
Интернет-периметр
WAN
Интернет
AAA
Интернет
Ядро
ЦОД
Комплекс
зданий
IPS
IE удаленного доступа
МСЭ
FTP Основной
HTTP
Периметр глобальной
сети
IPS
91© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
ДМЗ – сегмент приложений сетевых сервисов
Корпоративныйинтернет-доступ
Удаленный работник с доступом через МСЭ
Резервный канал подключения филиала
• Общедоступные сервисы
• FTP, DNS, NTP и т. п.
• Интернет-доступ для пользователей комплекса зданий и филиала
• Web-сайты, электронная почта, другие типовые интернет-сервисы, защита web-трафика и электронной почты
• Средства совместной работы, например, WebEx
• Доступ к ресурсам корпоративной сети для удаленного работника
• Интернет-доступ через МСЭ штаб-квартиры
• Базовые сервисы IP-телефонии
• Интернет как резервный канал подключения
• Доступ к ресурсам корпоративной сети
• Web-сайты, электронная почта, другие типовые интернет-сервисы
Интернет-периметр корпоративной сетиАнализ сервисов
92© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Обзор интернет-периметра корпоративной сети
1. Маршрутизация периметра - два ISP
Маршрут по умолчанию
BGP
2. Защита периметра
Инфраструктурные ACL
Политики уровня управления
Контроль TTL
ACL для управления
3. Управление
Возможность подключения
Включение мониторинга
Интернет
SP1 SP 2
93© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита пограничныхмаршрутизаторов
Configs
interface GigabitEthernet0/3
ip address 64.104.20.3 255.255.255.0
ip access-group 113 in
interface GigabitEthernet0/1
ip address 198.133.219.2 255.255.255.0
access-list 113 deny tcp any 198.133.219.0 0.0.0.255 fragments
access-list 113 deny icmp any 198.133.219.0 0.0.0.255 fragments
access-list 113 deny ip host 0.0.0.0 any
access-list 113 deny ip 127.0.0.0 0.255.255.255 any
access-list 113 deny ip 192.0.0.0 0.0.0.255 any
access-list 113 deny ip 224.0.0.0 31.255.255.255 any
access-list 113 deny ip 10.0.0.0 0.255.255.255 any
access-list 113 deny ip 192.168.0.0 0.0.255.255 any
access-list 113 permit tcp host 64.104.20.4 host 64.104.20.3 eq bgp
access-list 113 permit tcp host 64.104.20.4 eq bgp host 64.104.20.3
access-list 113 deny ip 198.133.219.0 0.0.0.255 any
access-list 113 permit ip any any
access-list 113 deny udp any 198.133.219.0 0.0.0.255 fragments
router bgp 30000
bgp log-neighbor-changes
……
neighbor 64.104.10.114 ttl-security hops 2
Настройка инфраструктурных ACL
Вторжение
ИнтернетG0/3
64.104.20.3192.168.219.2
G0/1
Настройка контроля TTL
94© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита пограничныхмаршрутизаторов
Configs
interface Ethernet1/7
ip address 10.242.51.73 255.255.255.0
ip access-group 133 in
ip access-group 134 out
access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 ttl-exceeded
access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 port-unreachable
access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 echo-reply
access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 echo
access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq tacacs host 10.242.51.73 established
access-list 133 permit tcp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq tacacs
access-list 133 permit udp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq ntp
access-list 133 permit tcp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq 22 (SSH)
access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq ftp host 10.242.51.73 gt 1023 established
access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq ftp-data host 10.242.51.73 gt 1023
access-list 133 permit udp host 10.242.51.99 host 10.242.51.73 eq snmp
access-list 133 deny ip any any log
access-list 134 permit ip host 10.242.51.73 10.242.0.0 0.0.255.255
access-list 134 deny ip any any log
ACL управления
G1/7 10.242.51.73
ИнтернетМаршрутизатор
Сеть
управления
МСЭ
Вторжение
95© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита пограничныхмаршрутизаторов
Configsinterface GigabitEthernet0/1
ip address 198.133.219.2 255.255.255.0
ip flow ingress
load-interval 60
…
flow-sampler csmars-sample
interface GigabitEthernet0/2
description link to SP1 IE-7200-6
ip address 64.104.10.113 255.255.255.252
flow-sampler csmars-sample
ip flow-cache timeout active 1
ip flow-export source Ethernet1/7
ip flow-export version 5
ip flow-export destination 10.242.51.99 2055
Включение мониторинга угроз
Вторжение
ИнтернетG0/2
64.104.10.113192.168.219.2
G0/1
МСЭ
G1/7 10.242.51.73
Сеть
управления
96© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
ДМЗ
Интернет
SP1
МСЭ
ЦОД, корпоративная сеть
SP2
Соображения по развертыванию МСЭдля защиты сети
• Соображения по развертыванию МСЭ
Правила МСЭ обеспечивают защиту сети.
Интеграция устройств защиты электронной почты и web-трафика с МСЭ.
Настройка и развертывания системы защиты инфраструктуры.
Развертывание и проектирование защищенной ДМЗ для общедоступных сервисов.
Включение функций мониторинга и управления.
97© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Корп. сеть
Интернет
Дизайн системы МСЭ
ДМЗ
98© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Корп. сеть
Интернет
Дизайн системы МСЭ
Корпоративный
пользователь
Устройство
защиты
электронной
почты
Сервер
эл. почты
Трафик
электронной
почты
Web-трафик
Устройство
защиты Web-трафика
99© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Корп. сеть
Интернет
Дизайн системы МСЭ
Корпоративный
пользователь
Устройство
защиты
электронной
почты
Сервер
эл. почты
Трафик
электронной
почты
Web-трафик
Устройство
защиты Web-трафика
Удаленный
пользователь
Внешний
пользователь
100© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Корп. сеть
Интернет
Дизайн системы МСЭ
Корпоративный
пользователь
Устройство
защиты
электронной
почты
Сервер
эл. почты
Трафик
электронной
почты
Web-трафик
Устройство
защиты Web-трафика
Периметр
Wan
Пользователь
филиала
101© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по обеспечению безопасности с помощью МСЭ
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network NETWORK_APPLICATION_HOSTS
network-object 198.133.219.55 255.255.255.255
network-object 198.133.219.59 255.255.255.255
object-group protocol NETWORK_APPLICATION_PROTOCOL
protocol-object tcp
protocol-object udp
object-group service services2 tcp
port-object eq www
port-object eq https
port-object eq smtp
access-list OUTSIDE_IN extended permit tcp any object-group NETWORK_APPLICATION_HOSTS eq domain
access-list OUTSIDE_IN extended permit tcp any object-group NETWORK_APPLICATION_HOSTS object-group services2
access-group OUTSIDE_IN in interface externalservices
access-list WEB_ACCESS extended permit tcp host 10.245.255.250 any eq www
access-list WEB_ACCESS extended deny tcp any any eq www
access-list WEB_ACCESS extended permit ip any any
access-group WEB_ACCESS in interface corporate
Правила МСЭ (ограничение типов
трафика)
Правила МСЭ (устройство защиты
web-трафика)
198.133.219.20
Интернет
МСЭ
ДМЗ
Корп.
102© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по обеспечению безопасности с помощью МСЭ
logging enable
logging buffered debugging
logging trap debugging
logging asdm informational
logging host management 172.26.191.99
flow-export destination management 172.26.191.99 2055
flow-export template timeout-rate 1
flow-export enable
aaa-server ACS-Admin protocol tacacs+
aaa-server ACS-Admin (management) host 172.26.191.94 key cisco
aaa authentication telnet console ACS-Admin LOCAL
aaa authentication serial console ACS-Admin LOCAL
aaa authentication http console ACS-Admin LOCAL
aaa authentication ssh console ACS-Admin LOCAL
aaa authentication enable console ACS-Admin LOCAL
aaa authorization command LOCAL
aaa authorization exec authentication-server
http server enable
http 172.26.191.0 255.255.255.0 management
http 172.26.0.0 255.255.0.0 management
http 192.168.1.0 255.255.255.0 management
snmp-server host management 172.26.191.99 poll community csmars
no snmp-server location
no snmp-server contact
snmp-server community csmars
snmp-server enable traps snmp authentication linkup linkdown coldstart
Включение мониторинга и
журналирования
Включение управления
198.133.219.20
Интернет
FW
ДМЗ
Корп.
Управление
103© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Обзор средств организации VPN
• Механизм защищенного взаимодействия по IP-сети
• Аутентификация (подлинность/оценка абонента)
• Целостность (отсутствие модификаций)
• Конфиденциальность (защита от прочтения)
• Компоненты VPN удаленного доступа (RA)
• Клиент (мобильный или фиксированный)
• Устройство терминирования (много устройств)
IPsec и SSL
Устройство терминирования
VPN и обеспечениябезопасности
VPN-клиентили браузер
VPN-туннель
104© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защищенное подключение из любой точки мира Расширение сети в рамках SDN
Интернетобщего
пользования
ASA 5500
SSL VPN без использования клиента
SSL VPN без использования клиента
SSL или IPSec VPNс использованиемклиента
Партнеры/консультанты
Контролируемый доступ к определенным ресурсам и приложениям
Мобильные сотрудники
Простота доступа к ресурсам корпоративной сети
Пользователи роуминга
Надежный доступ к приложениям с неконтролируемых устройств
Поздняя работа / домашний офис
Сотрудникам, которым необходимо поработать дома, и мобильным сотрудникам требуется постоянный сетевой доступ к корпоративным ресурсам и приложениям
SSL или IPSec VPNс использованиемклиента
105© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
SSL VPN без использования клиента
Настраиваемый логотип
Настраиваемыеспособы доступа
Настраиваемый баннер
Настраиваемые цвета и разделы
Настраиваемые ссылки, сетевые
ресурсы, права доступа Локализация
Расширенныенастройки
106© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Функциональные возможности SSL VPN без использования клиента
Надстройки клиент-сервер
Ввод адреса ресурса
107© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Функциональные возможности SSL VPN без использования клиента
• Позволяет администраторам настраивать ссылки для доступа к внутренним ресурсам.
• Простота использования — не нужно запоминать IP-адреса или имена серверов
• В ссылках для доступа к внутренним ресурсам могут использоваться различные протоколы: HTTP, HTTPS, CIFS, FTP, …
• Защищенный доступ к внутренним web-приложениям и файловым серверам с помощью обычного браузера. Превосходно подходит для удаленного доступа без использования клиента из интернет-кафе или для бизнес-партнеров, которым требуется доступ к определенному набору ресурсов
108© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по обеспечению безопасности удаленного доступа
crypto ca trustpoint LOCAL-TP
revocation-check crl none
enrollment self
fqdn IE-SSL-1.cisco.com
subject-name CN=198.133.219.40
serial-number
ip-address 198.133.219.40
crl configure
webvpn
enable VPN-termination
group-policy executive internal
group-policy executive attributes
vpn-simultaneous-logins 25
vpn-tunnel-protocol webvpn
default-domain value ourcompany.com
username csmars password SnYzFPfdfjv/zzfi encrypted privilege 15
username admin password e1z89R3cZe9Kt6Ib encrypted
tunnel-group executive-tunnel type remote-access
tunnel-group executive-tunnel general-attributes
default-group-policy executive
tunnel-group executive-tunnel webvpn-attributes
group-alias executive enable
Включение SSL-VPN
Интернет
МСЭ удаленного доступа
Корп.
Управление
198.133.219.40
109© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по обеспечению безопасности удаленного доступа
interface GigabitEthernet0/0
nameif VPN-termination
security-level 0
ip address 198.133.219.40 255.255.255.0 standby 198.133.219.41
aaa-server ACS-Admin protocol tacacs+
aaa-server ACS-Admin (management) host 172.26.191.94
key cisco
aaa authentication telnet console ACS-Admin LOCAL
aaa authentication serial console ACS-Admin LOCAL
aaa authentication enable console ACS-Admin LOCAL
aaa authentication ssh console ACS-Admin LOCAL
aaa accounting enable console ACS-Admin
aaa accounting serial console ACS-Admin
aaa accounting telnet console ACS-Admin
aaa accounting command ACS-Admin
aaa authorization exec authentication-server
http server enable
http 172.26.191.95 255.255.255.255 management
http 192.168.1.0 255.255.255.0 management
snmp-server host management 172.26.191.99 poll community csmars
no snmp-server location
no snmp-server contact
snmp-server community csmars
snmp-server enable traps snmp authentication linkup linkdown coldstart
ntp server 172.26.129.252 source management
username csmars password SnYzFPfdfjv/zzfi encrypted privilege 15
username admin password e1z89R3cZe9Kt6Ib encrypted
Включение мониторинга и
управления
Интернет
МСЭ удаленного доступа
Корп.
Управление
198.133.219.40
110© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Шлюз защиты электронной почты (ESA)Антиспам, антивирус, соответствие нормативным требованиям
Маршрутизатор
на интернет-периметре
ИнтернетВнутренний
коммутатор
Местоположение ESA
Корпоративная
сетьМежсетевой
экран
Устройство
защиты
электронной
почты
Сервер
эл. почты
Корп.
пользователь
111© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита контента электронной почты с помощью решения Ironport
Антиспам
Антивирус
Выполнение политик
Маршрутизация почты
До IronPort
Устройство защиты электронной почты IronPort
Интернет
МСЭ
MTA
Среда групповойработы
Пользователи
После
создания
IronPort
Интернет
Пользователи
Среда групповойработы
МСЭ
112© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Сеть IronPort SenderBaseГлобальный охват обеспечивает точность
1. Совместный анализ трафика электронной почты и web-трафика существенно повышает показатели обнаружения
2. В 80% спам-сообщений содержатся URL-адреса
3. Электронная почта – основной механизм распространения вредоносного web-ПО
4. ВПО – основной механизм распространения «спам-ботов»
1. Более 30 млрд запросов в день
2. Более 150 параметров трафика эл. почты и web-трафика
3. 25% мирового трафика
4. Сетевая платформа Cisco
Устройства
защиты
электронной
почты IronPort
Устройства
защиты
web-трафика
IronPort
IronPort SenderBase
Сочетание анализа трафика
электронной почты и web-трафика
113© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Сеть IronPort SenderBase
Глобальная
статистика
Более 100 000
организаций,
трафик эл. почты и
web-трафик
Данные
о сообщении
Размер сообщения,
размер вложений, типы
вложений, URL-адреса,
имена хостов
Спам-сенсорыSpamCop, операторы
связи, помощь заказчиков
Черные и
белые
списки
IP-адресов
SpamCop, SpamHaus
(SBL), NJABL, Bonded
Sender
Списки
взломанных
хостов
Загруженные файлы,
URL-перехода,
эвристика
Данные о
web-сайте
SORBS, OPM,
DSBL
Другие данные
Компании из списка
Fortune 1000, длина
информации о цепочке
передачи, расположение
web-сайта, срок его
регистрации, срок его
фактической работы
Отчеты
о соблюдении
требований
Отчеты о спаме,
фишинге, вирусах
URL-адреса в спам-
сообщениях, URL-
адреса в сообщениях
фишинга, сайты со
шпионским ПО
Черные и белые
списки доменов
114© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Архитектура IronPort Защита входящих, контроль исходящих
Защита от
спама
Защита от
вирусов
ПЛАТФОРМА ДЛЯ ЗАЩИТЫ ЭЛЕКТРОННОЙ
ПОЧТЫ IRONPORT ASYNCOS™
Предотвращение
утечки данных
Защищенный
обмен
сообщениями
ЗАЩИТА
ВХОДЯЩИХ
КОНТРОЛЬ
ИСХОДЯЩИХ
115© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по развертыванию устройства защиты электронной почты Ironport
1. Разместите его во внутренней сети.
2. Разработайте правила межсетевого экрана, допускающие входящий/исходящий трафик SMTP, исходящий трафик HTTP по адресу downloads.ironport.com (фильтры вирусных эпидемий, правила антиспама и обновления AsyncOS), исходящий трафик HTTPS для обмена данными Senderbase и загрузки обновлений McAfee, а также исходящие DNS-запросы
3. Используйте внешние DNS-серверы
4. Используйте отдельные модули анализа для входящих и исходящих сообщений
5. Используйте аутентификацию, если это возможно
6. Спроектируйте политики, основываясь на потребностях групп или отдельных сотрудников
ИТ — все типы файлов, карантин исполняемых файлов
Продавцы — пометка и доставка спама, удаление исполняемых файлов
Юристы — архивирование всей электронной почты
116© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Устройство защиты электронной почты
Настройка сетевых интерфейсов
Настройка сетевых интерфейсов
117© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Устройство защиты электронной почты
Настройка политик
118© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Сведения о вирусной эпидемии
119© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Статистика по входящей почте и заблокированным сообщениям
120© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Шлюз защиты трафика web (WSA)Консолидированный web-шлюз
IronPort
L4 Traffic
Monitor
IronPort
Policy FiltersWeb-прокси
Антишпионское ПО
Антивирус
ПО для борьбыс фишингом
Фильтрация по URL
Управление политиками
Интернет
МСЭ
Пользователи
Интернет
Пользователи
МСЭ
Консолидация
функций Устройство
защиты web-
трафика IronPort
121© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
IronPort WSAБезопасность и производительность на периметре сети
1. Несколько уровней защиты от ВПО в рамках одного устройства
Превентивная: фильтры web-репутации,
Реактивная: McAfee, Webroot
2. Гибкое управление политиками
Фильтры IronPort для URL-адресов
Web Security Manager
3. Высокая безопасность + высокая производительность
AsyncOS for Web
Ядро антивируса
122© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
• Черные списки URL
• Белые списки URL
• Категоризация URL
• Данные об HTML-контенте
• Поведение URL
• Глобальная статистика
• Сведения о регистраторе DNS
• Динамические IP-адреса
• Списки взломанных хостов
• Данные web-роботов поиска
• Владельцы сети
• URL-адреса известных угроз
• Статистика (F500, G2000…)
• История web-сайта
Данные SenderBase
Анализ данных/моделированиебезопасности
Рейтинг web-репутации(WBRS)
От -10 до +10
Параметры
ОТРАЖЕНИЕ УГРОЗ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ
Фильтры web-репутации IronPort Все дело в имеющейся информации
Работа с известными
и НЕизвестными сайтами
123© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Шлюз защиты web-трафика (WSA)
Пограничный
маршрутизатор
ИнтернетВнутренний
коммутатор
Местоположение WSA
Корпоративная
сетьМСЭ
Устройство
защиты web-
трафика
124© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Два метода развертывания WSA как прокси-сервера
1. Явный – клиентам необходимо выполнить настройку приложений на работу с прокси-сервером
2. Прозрачный – клиентские приложения не настраиваются на работу с прокси-сервером, для перенаправления трафика на прокси-сервер используется редиректор портов
3. МИФ: при явном развертывании прокси-сервера необходимо вручную настраивать клиентские рабочие станции
В большинстве крупных организаций используется решение MS SMS или подобное, которое позволяет централизованно управлять клиентами
Файл автонастройки прокси-сервера можно распространить по DHCP
125© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по развертыванию устройства защиты web-трафика Ironport
1. Выбор метода для подключения браузера
Вручную
явное
Файл PAC L4/WCCP
Отказоустойчи-
вость/резерви-
рование
Балансировка
нагрузки
Единый вход
Хэш «источник-
получатель»
126© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по развертыванию устройства защиты web-трафика Ironport
1. Определите критерии политики
IP-адрес (просто)
Аутентификация (сложнее)
Источник/получатель (сложно)
2. Определите метод аутентификации
LDAP (просто)
Active directory (сложнее)
3. Способ формирования отчетов
На устройстве
С помощью дополнительных средств, например, Sawmill
4. Политика
Настраивается с помощью Web Security Manager
127© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Устройство защиты web-трафика
Screen shots
Настройка сетевых интерфейсов
Настройка категорий URL
128© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Соображения по развертыванию устройства защиты web-трафика Ironport (продолжение)
1. Определите метод подключения web-браузера
Явный
Файлы Pac
Прозрачный режим при использовании WCCP
2. Определение политик реакции сервера на входящий трафик
На основании типа MIME
На основании размера
3. Устройство Ironport может настраиваться на работу с прокси-сервером оператора связи
4. Разработайте правила межсетевого экрана для перенаправления через устройство Ironport только исходящего web-трафика
5. Политика трафика HTTPS
Транзитная передача трафика на респектабельные сайты (например,www.bankofamerica.com)
Расшифровка и мониторинг на основании рейтинга репутации или категории URL (расшифровывать cayman.com или сайты игровых систем)
Удаление на основании рейтинга репутации или категории URL (удалять трафик на cayman.com или сайты игровых систем)
129© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Сайты с наибольшим количеством
обращений с высоким уровнем риска
Заблокированные web-сайты
130© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Активность и статистика по клиентам
131© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Категории URL и их использование
132© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Управление периметром ИнтернетСоображения по развертыванию
1. В случае периметра Интернет внешние коммутаторы и пограничные маршрутизаторы располагаются с внешней стороны МСЭ периметра
2. Соединения, используемые для управления этими устройствами, должны проходить через отдельный сегмент, защищенный МСЭ
3. Подключение к внешним коммутаторам или внешним маршрутизаторам через выделенную сеть позволит обойтись без защиты межсетевым экраном
133© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Управление интернет-периметром
CS-
MARSCSM Хост
админ.
CS-ACSВыделенная
сетьNAC
Mgr
Внешние
коммут.
Погран.
маршр.
Интернет
Сервер
NTP
Коммут.
ядра
Внутр.
коммут.
Сервер
консольного
доступа
Сервер
консольного
доступа
Управление
по общим каналам
МСЭ
Интернет-
периметр
Внешнее
устройство
OOB
МСЭ
перим.
SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
134© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Интернет
Устройство безопасности
удаленного доступа
CS-MARS CS-ACS
SD
EE
syslog
МСЭВнутреннийкоммутатор
Внешнийкоммутатор
IPS Пограничный
маршрутизатор
CSM
Мониторинг, анализ и корреляция событий на периметре
135© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Защита современного интернет-периметра
1. К интернет-периметру предъявляются требования по поддержке все большего и большего числа сервисов
2. Интернет-периметр превращается в сложную сетевую структуру
3. Для управления устройствами рекомендуется использовать выделенную сеть
4. Для защиты сети следует использовать средства безопасности IOS, они предоставляются бесплатно
5. Устройства защиты web-трафика и электронной почты (например,Ironport) позволяют обеспечить безопасность контента
6. Удаленный доступ приобретает все большую важность, устройства Cisco ASA являются превосходным решением для терминирования сеансов удаленного доступа
7. Мониторинг и отражение угроз на интернет-периметре имеют критически важное значение
136© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
План презентации
1. Введение
2. Обзор Cisco SAFE
3. Основы сетевой защиты
4. Интеллектуальные средства совместного обнаружения и отражения угроз
5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)
6. Управление
7. Архитектура сети комплекса зданий
8. Архитектура периметра Интернет корпоративной сети
9. Выводы
137© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Ключевые выводы о SAFE
1. Многоуровневая сквозная модульная система защиты на основе рекомендованных архитектур
2. Руководства по проектированию и развертыванию с учетом платформы и необходимого функционала
3. Интеллектуальные сетевые механизмы для улучшения контроля и управления
4. Инфраструктура маршрутизации и коммутации как средство обеспечения безопасности
5. Услуги Cisco в области ИБ используются для поддержки жизненного цикла архитектуры
www.cisco.com/go/safe
138© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Вопросы и Ответы
139© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE
Мы хотели бы узнать Ваше мнение
Пожалуйста,
заполните анкету
140© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE